Propagandeado como uma alternativa segura de privacidade, o navegador Maxthon está enviando dados de navegação para servidores na China, sua terra natal.
A desenvolvedora responsável pelo Maxthon alega que a funcionalidade é opcional, mas pesquisadores de segurança descobriram que informações privadas são enviadas mesmo sem autorização do usuário.
Entre os dados enviados para um servidor em Beijing, na China, estão a lista de programas instalados na máquina, histórico de navegação e até mesmo termos utilizados em mecanismos de busca durante o uso do Maxthon. As informações ficam inseridas no arquivo encriptado dat.txt, armazenado dentro do ueipdata.zip gerado pelo User Experience Improvement Program (UEIP). A participação no UEIP é opcional para o usuário e, de acordo com a empresa, ao se recusar a participar do programa, apenas informações básicas seriam enviadas.
Mas os especialistas de duas empresas de segurança diferentes, a Fidelis Cybersecurity e a Exatel, descobriram que o dat.txt é criado independentemente da vontade do usuário, com dados que podem ser utilizados para identificação e até mesmo ataque ao computador. A criptografia do arquivo com as informações foi facilmente quebrada pelos pesquisadores.
“Essencialmente, a informação que está sendo transmitida de volta contém quase tudo que você poderia querer ao conduzir uma operação de reconhecimento para saber exatamente onde atacar. Conhecer o sistema operacional exato e as aplicações instaladas e os hábitos de navegação tornariam trivial enviar um engodo perfeitamente customizado para a vítima ou talvez estabelecer um ataque de armadilha em seus sites mais frequentados”, explicou o CSO da Fidelis Cybersecurity, Justin Harvey.
A preocupação dos analistas não está apenas no uso indevido desses dados pela Maxthon ou seu armazenamento nos servidores da empresa. Ao transmitir esses arquivos através de uma conexão HTTP, não-encriptada, a desenvolvedora também esta expondo essas informações à interceptação por parte de terceiros. A norma nesse tipo de caso seria enviar dados através de HTTPS, para garantir a proteção das partes envolvidas na comunicação.
